XML安全技术及其应用探析

＜＿＜＜．　—ＳＹＳ—ＳＥＣＵＲＩＴＹ　系统安全　

ＸＭＬ安坌技市及其应用探析　

◆武亚宁　

摘要：ＸＭＬ凭借其特有的兼容性、扩展性、结构化、多平台、易扩展等优　

势在互联网络以及分布异构环境中得到了人们的普遍追捧，并且逐步演变为数　

据交换的主力技术。作为一种结构化的数据描述标准，ＸＭＬ在电子商务、数字　

平台构建、共享数据交换等领域得到广泛的应用。ＸＭＬ安全技术旨在保证数据　

的完整性、真实性和稳定性，相比传统的安全技术，ＸＭＬ安全技术凭借其自身　

的特点和先天优势越来越受到人们的重视。　

关键词：ｘＭＬ技术；信息安全；ＸＭＬ应用　

一

、

ＸＭＬ安全技术　

加密过程中，数据格式的相关信息以及应用的加密数　

据统统由ＸＭＬ￣Ｉ密模块统一转换为标准的ＸＭＬ标记语　

法。加密结果会被保存为一个ＸＭＬ￣ＪＩ密文档，这一文　

１．１ＸＭＬ安全技术概述　

作为一种结构化的数据描述方法，ＸＭＬ技术正在　

档不但可以通过解密获取有效数据，其中的数据还可以　

被引用。与此同时ｘＭＬ加密还有以下优点：１．数据安全　

性保障，数据加密稳定。ＸＭＬ的加密文档无论是在网　

路传输过程中还是在存储过程中都能保障加密数据的稳　

定和保密性，没有特点的授权信息不能被解读和引用。　

２．多方数据交流安全保障。突出表现为在多方数据交流　

过程中，加密数据不需要重复加密解密操作并且数据发　

数据存储交换的领域中发挥着越来越重要的作用。与此　

同时ＸＭＬ的安全性同样受到人们的关注，ＸＭＬ安全技　

术应运而生。ＸＭＬ安全技术的核心是由Ｗ３Ｃ和ＩＥＴＦ等　

机构提出的一系￣ｔＪＸＭＬ安全规范。其中包括ＸＭＬ数字　

签名标准、ＸＭＬ￣］Ｉ密标准、ＸＭＬ公钥管理规范、ＸＭＬ　

权利标记语言、安全断言标记语言等。　

１．２ＸＭＬ安全技术内容　

出人拥有授权资格。３．加密方式多变。ＸＭＬ￣Ｉ密不仅可　

以对整个ＸＭＬ文档加密，更可以指定完整文档中需要　

１．２．１ＸＭＬ密钥管理。ＸＭＬ公钥管理规范（下文中简　

称ＸＫＭＳ）是由Ｗ３Ｃ机构推荐的公钥配置与注册规范。　

ＸＫＭＳ被普遍认知为第二代ＰＫＩ，因为它是基于ＸＭＬ的　

加密的数据地址从而做到部分加密。４．多种应用环境的　

兼容性保障。ＸＭＬ￣Ｉ１密技术可以应用与数据交换、数　

ＰＫＩ。ＸＫＭＳ不同于传统的ＰＫＩ，传统的ＰＫＩ由两层应用　

模式，而ＸＫＭＳ￣将其拓展为三层。只之间的差别不能　

用数值区分，它引入了信任服务中间层的概念在ＰＫＩ发　

据存储等多种需求当中。　

１．２．３ＸＭＬ数字签名。ＸＭＬ数字签名技术核心ｘＭＬ　

数字签名规范是由Ｗ３Ｃ和ＩＥＴＦ两个组织联合定制的。　

展过程中是一项革命性的突破。信任服务中间层利用　

ＸＭＬ的语法模式来描述密钥信息和证书信息并且通过　

ＸＫＭＳ消息（ＸＫＭＳ特有的数据类型）将证书和密钥的　

操作过程隐含与网络的信任服务当中。这一方法不仅可　

它既可以作为传统数字签名技术的一个分支也可以是传　

统数字签名技术的一个拓展。为了在签名规范中充分利　

用ＸＭＬ的特性，该规范还特别引入了Ｓｉｇｎａｔｕｒｅ元素的概　

念。这一元素的出现解决了数字签名在ＸＭＬ格式中的　

表现形式。数字签名的类型签名密钥信息以及签名数据　

以保证信息的安全性，更是使得ＰＫＩ在面向客户端时可　

以简化操作。　

１．２．２ＸＭＬ￣Ｉ密解密。和ＸＭＬ密钥管理相似，ＸＭＬ　

加密技术的核心同样是通过Ｗ３Ｃ推荐的ｘＭＬ加密规范　

来实现的。对ＸＭＬ数据的加密并保存为ＸＭＬ规定格式　

配合解密处理器是ｘＭＬ加密规范的核心内容。ＸＭＬＪ］Ｉ　

的引用等签名数据的详细信息统统被保存在该元素中。　

和ＸＭＬ￣Ｉ密技术相仿，ＸＭＬ签名同样支持对ＸＭＬ文档　

整体及部分的签名操作。　

二、ＸＭＬ安全技术研究现状及发展　

因为ＸＭＬ有着众多的先天优势，这使得ＸＭＬ的应　

用越来越广泛。对于ＸＭＬ技术本身来说这一现象无疑　

密技术可以普遍应用与各种数据类型，包括ＸＭＬ文档　

中的某些特定元素甚至是ＸＭＬ完整文档本身。在ＸＭＬ　

７４　信息系统工程Ｉ　２０１２７　２０　

给其自身带来了巨大的发展空间，但是众多问题也随　

之而来，其中最引人注目的是ＸＭＬ的安全性问题。现　

有的安全手段不足以为ＸＭＬ的安全操作保驾护航并且　

还会给它带来诸多限制。正因为这一原因，以Ｗ３Ｃ和　

ＩＥＴＦ为代表的几大组织共同投入到了ＸＭＬ安全标准的　

开发过程中。　

伴随在ＸＭＬ技术的发展和普及，人们对ＸＭＬ数字　

签名的需求度与日俱增。认识到这一问题，在１９９９年　

ＸＭＬ安全技术规范开始由Ｗ３Ｃ联合ＩＥＴＦ共同开发。由　

两大组织联合创建的工作小组经过三年的开发终于在　

２００２年发布了一系列ｘＭＬ安全规范。该规范由Ｗ３Ｃ和　

ＩＥＴＦ共同开发，必然融合了两大组织自身的优势，包括　

Ｗ３Ｃ对ＸＭＬ的理解和ＩＥＴＦ对加密技术的专长。这一规　

范一经发布就被用来创建和表示ＸＭＬ数字签名。　

ＸＭＬ数字签名的处理相较与上文中提到的技术略　

显繁琐了一些，它需要用到公钥体系结构和各种不同的　

格式处理。密钥管理规范是由Ｍｉｃｒｏｓｏｆｔ、ＷｅｂＭｅｔｈｏｄｓ　

等组织联合开发的，目的在于ｗｅｂ服务和ＰＫＩ的集成应　

用。这一规范被Ｗ３Ｃ组建的ＸＭＬ公钥工作组进一步升　

级制定出了现在人们所熟悉的ＸＫＭＳ密钥管理规范。　

三、ＸＭＬ安全技术综合应用　

３．１ＸＭＬ技术应用领域。截止到目前，作为ＶＳ．ＮＥＴ　

底层开发技术ＸＭＬ仍然是该领域内的主导技术体系。　

并且伴随着它在网络服务中的的广泛应用，ＸＭＬ衍生　

出了针对于电子商务的ＸＭＬ电子商务语言（下文中简　

称ｅｂ．ＸＭＬ）。这一技术的衍生给电子商务领域带来了　

全新的发展思路。其中的核心技术是ＸＭＬ为了迎合电　

子商务技术需求特别开发的电子公文描述语言和ＸＭＬ　

电子商务应用指南。由于ｅｂ．ＸＭＬ为电子商务中的数据　

交换问题提供了完整的解决方案并且摒弃了传统中高成　

本ＥＤＩ，如今已经在各大公司以及企业中广泛应用。不　

仅如此，ＸＭＬ在其他行业中也有着不同的应用范围，　

其中包括面向计算技术的数学标记语言和面向化学行业　

的化学标记语言等。　

ＸＭＬ能够和数据库进行良好的结合是基于其自身　

的结构性和描述性特点。ＸＭＬ不仅支持ＸＭＬ数据库同　

样可与传统数据库相连接。由于ＸＭＬｆｌ￣够做到数据库　

中属性和自身文档的统一，这使得在现阶段的热门技术　

数据挖掘中也能看到ＸＭＬ技术的应用。ＸＭＬ在网络数　

据挖掘中的应用颠覆了传统数据挖掘不同格式数据库的　

兼容问题，它能够联系不同结构化数据数据做到深度挖　

掘，这一特性为数据挖掘技术带来新的革命。　

作为新兴的互联网研究热点，语义Ｗｅｂ技术同样是　

垦　ｌＵ　！　室全　：　＞　

基于作为其分层结构的基层语法层的ＸＭＬ技术。基于　

ＸＭＬ出色的结构性和描述性，它可以简化传统网络搜　

索技术并且使其具有更高的效率。　

３．２ＸＭＬ安全技术在共享数据交换中的应用。ＸＭＬ　

安全技术在数据传输中的应用主要运用到了由Ｗ３Ｃ开发　

的ＸＭＬ安全技术规范来作为技术标准。在数据安全的　

保障问题中ＸＭＬ安全技术和ＸＭＬ技术相结合进而生成　

一

套完整的数据安全保障体系。这一体系中就运用到了　

上文中提到的ＸＭＬ密钥管理、ＸＭＬ签名和ＸＭＬ数据加　

密等ＸＭＬ安全技术。首先，数据的发送方利用ＸＫＭＳ　

模块注册公钥信息，然后将需要传输的数据本身进行格　

式转换操作，既将传统数据类型转换为ＸＭＬ文档数据　

类型。下一步利用ＸＭＬ数字签名技术来保证数据的安　

全性、稳定性和权限性。将发送方的签名数据或者授权　

信息封装到签名文件中来达到接收方能够验证签名的目　

的。随后为了保障数据的安全性和封闭性将传输的数据　

利用ｘＭＬ加密技术进行加密操作，将数据文件格式转　

换为ＸＭＬ格式加密文件。最后将ＸＭＬ格式的加密数据　

传输到接收方，其中ＸＭＬ格式代替了源数据在网络传　

输中起到数据载体的作用。接收方会收到对称密钥信息　

以对接收到的加密数据进行解密操作，最后接收方可以　

通过直接接收或者向ｘＫＭｓ服务申请的方式获得公钥签　

名，只有这样才能将封装的ＸＭＬ数据转换成源数据。　

ＸＭＬ安全技术结合ｘＭＬ技术处理共享数据传输方　

案的优势在于：１．ＸＭＬ数据结构化特点，可以灵活选择　

整体或者部分ＸＭＬ数据进行ＸＭＬ安全技术操作包括加　

密或签名。２．加密格式统一，通过ＸＭＬ安全技术进行处　

理的数据会得到统一的ｘＭＬ格式加密文件。３．加密文件　

稳定性强，加密文件在传输过程中可以保证格式固定和　

数据安全。４．兼容性强，这一：宁案中应用到的ＸＭＬ安全　

技术可以通过ｃ或ＶＢ等底层语言来实现，可以多方数据　

转换和跨平台操作。　

３．３ＸＭＬ安全技术在电子商务中的应用。ＸＭＬ可以　

将传统数据格式完美转换为ＸＭＬ数据，并且利用ＸＭＬ　

安全技术将转换得到的数据进行签名和加密操，这一特　

性与电子商务对信息数据安全保障的需求吻合。ＸＭＬ　

安全技术在电子商务中的应用不外乎数据传输安全保障　

和ＷＥＢ平台数据安全，上文中已经对常见的ＸＭＬ安全　

技术进行了简要的说明这里不再赘述，重点介绍一下　

ＸＭＬ安全技术在电子商务中应用的优势：　

３．３．１简化电子商务通信：通过上文我们可以知道　

ＸＭＬ结构化的优点不胜枚举，在电子商务应用中同样　

如此。结构化特征使得电子商务过程中所能支持的数据　

格式大大增加简化了电子商务：嗵信。　（下转２２页）　

信息系统工程ｌ　２０１２７　２０　７５　

＜，＜＜　曼　！Ｑ　Ｑ　皇丝　

现对实验室使用情况进行监控统计，实时掌握实验室利　

用率情况，为实验室建设和管理工作提供科学有效的原　

始数据。　

轻松管理固定资产，在固定资产办公室里，足不出户就　

能掌控全方位设备固定资产信息，实时监控、清查，可　

以减轻管理人力、物力、财力的投入，提高工作效率、　

管理水平和管理效能，真正实现固定资产精细化管理，　

提高设备资产管理的速度和准确性，使各种资产管理能　

真正落到实处。　

四、结束语　

未来的物联网将会更加智能化、生活化。许多个人　

应用业务会推进物联网的发展。未来物联网的应用，在　

如果建立一个好的物联网管理结构，固定资产管理　

工作会得到高效细致的改善。如今，已经有高等学校在　

利用物联网技术进行固定资产设备管理，从实施效果来　

任何行业都将与行业用户紧密的联系在一起，并且形成　

系统化、协同化的聚合应用。现在我们经常在很多电影　

看，物联网技术给固定资产管理工作减少了很大的工作　中看到的科幻场景和智能化的应用，随着技术的发展都　

量，为高等学校的资产评估、决策，提供了更为可靠实　

将在未来变成我们生活中的现实。　

时的科学依据，避免了学校在固定资产管理环节上可能　未来我们的生活环境、生活方式都会因物联网而发　

造成的隐患。主要表现如下：　

生巨大的变化。　醐　

（１）增强固定资产管理观念。学校领导和管理人员　

通过管理系统，很容易掌握全校各区域固定资产的状　

参考文献　

况，对各部门申报的建设项目、改造完善项目、仪器设　

［１］王保云．物联网技术研究综述［Ｊ】．电子测量与仪器学　

备维修项目、设备更换项目等项目审批、决策提供了科　

报，２００９（１２）．　

［２】宁焕生全球物联网发展及中国物联网建设若干思考Ｕ１．电子　

学可靠的依据。　

学报，２ＯＬＯ（１１）．　

（２１打破了原来大规模、定期的固定资产清查工　

［３】马建．物联网技术概ＲＩＭ］．北京：机械工业出版社，２０１１，３．　

作，转化为实时监测，定期或不定期地对固定资产进行　

［４］魏长宽．物联网后互联网时代的信息革命［Ｍ］．中国经济出版　

社，２０１１，３　

清查盘点，有效地增强了对固定资产的监督和安全管理　

［５］吴价宝．物联网产业发展的国际经验及启示［Ｊ］．江海学　

力度。　

刊，２０１１（６）．　

（３）加强资产经营性管理，杜绝公有资产私人私用　

［６］牛玉霞，任伟．物联网体系结构研究叭．无线互联科技，２０１１（８）．　

等行为。　

［７］毛行标基于ＲＦＩＤ技术的高校设备固定资产管理物联网的构　

建Ｕ］．教育教学论坛，２０１０（３０）．　

ｒ４）节约管理成本。　

（作者单位：哈尔滨华德学院）　

（５）系统功能扩展性强，如果在实验室资产管理终　

端增加若干读卡设备，结合一卡通管理系统，很容易实　

｜　

｜　鬈≯谚＿｜

０ｌ

嚣自　

　ｌ

√爨　

０　｜００　０　ｊ

ｌｌ簿髫雾“　黪黪黪落黪｜

　ｊ　０　＿　

黪０黪嚣黪黪　簿黪嚣黪荔ｇ鬈　黪囊≯：　黪黪　

｜　一；　｜＿　。　：｜

ｇ　

。ｌ　√　ｌ　ｌｌ　ｌ◆　÷　；　雾０　

（上接７５页）　参考文献　

３－３．２易于电子商务信息操作：ｘＭＬ数据结构基于　［１］潘景山

，

王英龙，王美琴．基于ＰＫＩ和ＬＤＡＰ的全球网格安全系统　

专门制定的各种相关规范，格式统一具有方便管理和存　【Ｉ１ｌ计算机应用研元２００４．　

储的特点，方便了电子商务中信息的操作。　【２】林学练．ｘＭＬ数据安全系统的研究与实现Ｕ】．北京航空航天大　

学学报，２００３，４．　

四、总结　

。　

［３］王德强ＸＭＬ文档的信息安全保护　．￣［Ｊ１，２００３．

．．　

（作者单位：南京理工大学计算机科学技术学院）　

ＸＭＬ的众多应用领域拥有一个共同的特点，那就　

是对数据的依赖，包括对数据的传输、封装、储存和　

显示等。因此，数据的安全问题是ＸＭＬ技术的重中之　

重。现有的ＸＭＬ安全技术包括ＸＭＬ数字签名、ＸＭＬ￣ＩＩ　

密和ＸＭＬ密钥管理等核心技术已经在数据安全处理中　

取得良好的成绩，在用户操作的方便性、稳定性和操作　

性问题中，ＸＭＬ安全技术还有待提升，保障各种ＸＭＬ　

应用领域的数据安全，ＸＭＬ安全技术任重而道远。　润　

２２　信息系统工程ｌ　２０１２．７．２０